Politique de confidentialité de Phil

Phil est un logiciel applicatif mobile (« l’Application ») permettant un accompagnement personnalisé autour de la nutrition et de la gestion de la maladie pour les patients atteints de diabète de type 2.

L’Application propose aux personnes l’ayant installée (le/les « Utilisateur(s) »), sur leur(s) smartphone(s) (le « Terminal »), de scanner les codes-barres de tout emballage de produits alimentaires à l’aide de l’appareil photo de leur Terminal, et d’obtenir via l’Application, l’évaluation de la qualité nutritionnelle des produits scannés (score Innit). Cette fonctionnalité nécessitera le consentement de l'Utilisateur pour accéder à l’appareil photo de son Terminal.  

L’Application permet également à l’Utilisateur de personnaliser son profil utilisateur en renseignant de façon facultative certaines données le concernant (goûts, habitudes alimentaires, intolérances etc) afin de bénéficier d’un contenu adapté.

Il est également loisible, à l’Utilisateur de suivre ses données glycémiques et données hbA1c à travers un journal glycémique qui peut être alimenté via la connexion des lecteurs Accu-Chek Mobile & Guide à l’Application ou entré manuellement par l’Utilisateur dans l’Application.

Enfin, l’Utilisateur peut suivre, sous réserve de son consentement, le nombre de pas effectués par jour, alimenté par les données de son Terminal, et se fixer des objectifs journaliers.

Roche Diabetes Care France informe l’Utilisateur qu’elle ne recueille aucune donnée personnelle (au sens du Règlement (UE) 2016/679 du 27 avril 2016, dit RGPD) dans le cadre de son utilisation de l’Application Phil, les données éventuellement recueillies ne pouvant pas permettre l’identification d’une personne. Roche Diabetes Care France peut néanmoins, sous réserve du consentement de l'Utilisateur, traiter des données statistiques via Firebase (Google) sur l’utilisation de l’Application par l’Utilisateur et de correction d’erreurs liés au fonctionnement de l’Application, dans les conditions visées ci-après.

L’Application a été développée et est administrée en conformité avec RGPD, les dispositions de la loi n°78-17 du 6 janvier 1978 dite « Loi informatique et libertés » telle que modifiée et en vigueur, ainsi qu’avec les dispositions des décrets n° 2006-6 du 4 janvier 2006 et n°2018-137 du 26 février 2018 relatifs à l’hébergement de données de santé à caractère personnel (ci-après la « Réglementation »).

L’Application est un logiciel applicatif fourni au service de l'Utilisateur.  

Le traitement effectué dans le cadre de l’Application est à l’initiative, à la discrétion et pour le seul compte de l’Utilisateur. De même, le traitement est effectué sous le contrôle de l’Utilisateur, en parfaite autonomie et dans un environnement cloisonné, sans intervention possible des tiers sur ces données. 

Certaines fonctionnalités proposées par l’Application nécessitent la mise en œuvre de SDK (Software Development Kit), telles que notamment la mise en place de notifications push, le jumelage avec des applications tierces, la rapports d’erreurs de l’Application. Les données de l’Utilisateur font alors l’objet d’un traitement par RDCF et/ou par les tiers mettant à disposition les SDK. Les traitements ainsi réalisés sont détaillés ci-après. 

L’Utilisateur est libre de modifier, supprimer les données qu’il a renseignées dans l’Application, à tout moment. 

Roche Diabetes Care France n’ayant pour sa part accès qu’à des données anonymisées, elle n’est pas en mesure de permettre un droit d’accès, d’opposition, d’effacement, de limitation ou d’opposition au traitement autre que la modification ou la suppression de ses données directement par l’Utilisateur dans l’Application. 

Les données anonymes font uniquement l’objet d’un traitement à des fins statistiques, ou pour permettre à l’Application de vous fournir des recommandations prenant en compte vos préférences, sous réserve de votre consentement. 

Il est proposé à l’Utilisateur de renseigner lui-même certaines données de personnalisation du profil dans l’Application, notamment le sexe, l’âge, les données visées au 3.2 ci-dessous, les allergies éventuelles. A aucun moment l’Utilisateur ne renseigne ses nom et prénom ou son adresse. Le renseignement de ces données par l’Utilisateur est totalement facultatif.

Dans ce contexte, l’Utilisateur reconnaît qu’il est le seul responsable de l’enregistrement et de l’exactitude des données renseignées au sein de l’Application, et qu’il s’engage à prendre toute précaution utile, notamment en termes de sécurité de l’accès à son équipement/appareil de téléphonie mobile, afin que lesdites données ne soient pas rendues accessibles à des tiers non autorisés. Roche Diabetes Care France ne pourra être responsable de l’accès par un tel tiers aux données saisies dans l’Application en cas de négligence de l’Utilisateur.

L’Utilisateur est informé que les préférences alimentaires qu’il renseigne de façon facultative, dans l’Application permettent à Roche Diabetes Care France de personnaliser le profil de l’Utilisateur et de lui proposer des recettes et des contenus plus adaptés à ses préférences et à son profil, ainsi que de personnaliser le score nutritionnel Innit obtenu en scannant un produit alimentaire (le score Innit pourra varier à la baisse ou à la hausse en fonction d’un objectif alimentaire renseigné par l’Utilisateur lors de la personnalisation du profil).

Techniquement, les préférences ainsi renseignées par l’Utilisateur sont envoyées de l’Application à notre serveur AWS et stockées uniquement sur le Terminal de l'utilisateur. Ainsi, en renseignant ces données de personnalisation de Profil, l’Utilisateur est informé et accepte que l’Application permette l’enregistrement sur son propre Terminal des données ci-dessous :

• son régime alimentaire : méditerranéen, pescetarien, végétalien, végétarien, surveillance pondérale, difficultés de digestion, amélioration du transit, sportif, cholestérol, triglycérides ;

• ingrédients à exclure de son alimentation : arachides, arômes artificiel, céleri, crustacés, fruits à coque, gluten, lactose, lait et produits à base de lait, lupin, maïs, mollusques, moutarde, œufs, oignons, poissons et produits à base de poissons, poivrons, porc, sésame, soja, sulfites ;

• ses critères de préférence : légumineuses, eau riche en calcium, sans sucres ajoutés, viande, arômes artificiels, faible teneur en calories, faible teneur en matière grasses, faible teneur en graisses saturées, faible teneur en sel, faible teneur en sucre, bon apport en fibres, céréales complètes ;

• genre et tranche d’âge : homme-femme, 19-35 ans, 36-60 ans, et 60+ ;

• si connexion du lecteur de glycémie : cf.article 5 ci-dessous.

Certaines des ces données peuvent être qualifiées de données sensibles, lorsqu’elles sont rattachées à une personne déterminée, notamment : 

• Données de santé : glycémies, objectifs glycémiques, hémoglobine glyquée (HbA1c),  arachides, céleri, crustacés, fruits à coque, gluten, lactose, lait et produits à base de lait, lupin, mollusques, moutarde, œufs, poissons et produits à base de poissons, porc, sésame, soja, sulfites.

• Données susceptibles de révéler une religion : porc.

Lorsque l’Utilisateur personnalise les éléments listés ci-avant, un pop-up apparaît automatiquement, permettant de recueillir son consentement actif à l’enregistrement de ses données sur le Terminal. En cas de refus, cet élément de personnalisation ne sera donc pas pris en compte.

Demande de consentement repris ci-dessous :

L’Application offre à l’Utilisateur la possibilité de renseigner certaines données, listées ci-après, dont une synthèse sera proposée dans l’Application dans le “journal”, tableau de bord de l’Utilisateur.

• Planification des repas

  L’Application permet à l’Utilisateur de renseigner la liste des recettes qu’il prévoit de manger, avec date et heure.

• Historique du scan

  Un historique des scans effectués est disponible, et peut être supprimé à tout moment par l’Utilisateur. Aucun traitement de données personnelles n’a lieu lors de l’utilisation de cette fonctionnalité.

• Formulaire de contact

  Formulaire que l’Utilisateur peut renseigner s’il désire être recontacté suite à un retour éventuel à propos de l’Application

• Glycémie

  Les glycémies renseignées manuellement sont accompagnées d’une date ainsi que d’un tag parmi les suivants : avant repas / après repas / à jeun / coucher.

• Objectifs glycémiques

  Ce sont des seuils personnalisables, afin de fixer des objectifs glycémiques avec des plafonds minimum et maximum. Cette configuration doit être discutée avec un professionnel de santé par l’Utilisateur, aucun conseil ou recommandation ne seront fournis dans l’Application.

• Hémoglobine glyquée (HbA1c)

  Cette donnée peut être renseignée manuellement dans l’Application à partir de résultats en laboratoire, elle sera associée d’une date ainsi qu’une heure.

• Rapport des données glycémiques

  Le rapport de santé Phil est un document PDF que le patient peut exporter depuis son application Phil et sur lequel il retrouvera toutes ses données de glycémie sur la période de temps choisie et d’HbA1c (les six (6) dernières mesures). Le patient a le choix d’enregistrer ce document sur son smartphone (dans les fichiers) ou de le transférer par mail (ou autre application) à son ou ses professionnels de santé. Ce processus est purement local, les données générées ne sont pas consultables par Roche Diabetes Care France.

L’Application permet à l’Utilisateur qui le souhaite de suivre son niveau d’activité physique au travers du suivi du nombre de pas effectués. Par ailleurs, l’Utilisateur peut se fixer un objectif de pas par jour. Un objectif par défaut de 4 000 pas est automatiquement renseigné à la première utilisation, cet objectif est donné à titre purement indicatif et ne constitue en aucun cas une recommandation personnalisée pour l’Utilisateur. Lors du premier paramétrage de la fonction, l’Application propose à l’Utilisateur d’adapter cet objectif à ses propres besoins.

L’Utilisateur reconnaît qu’il est le seul responsable de l’objectif fixé au sein de l’Application, en aucun cas Roche Diabetes Care France ne pourra être responsable de l’objectif fixé par l’Utilisateur au sein de l’Application.

Roche Diabetes Care France ne reçoit aucune donnée personnelle qui lui permettrait d’établir l’identité d’un Utilisateur.

Pour les utilisateurs Android, les données du podomètre sont issues des services de Santé Connect de Google (Health Connect) et Google Fit, pour lesquels l’Utilisateur doit accepter l’accès aux données afin de bénéficier de la fonctionnalité. Suite au consentement de l’Utilisateur, seul un accès en lecture des « pas » sera demandé.

Pour les utilisateurs Apple, les données du podomètre sont issues du service Apple Santé, pour lequel l’Utilisateur devra accepter l’accès par l’Application aux données afin de bénéficier de la fonctionnalité. Lors de l’acceptation, seul un accès en lecture des « pas » sera demandé à l’Utilisateur.

Ces données ne sont pas transmises à un tiers, à l’exception et sous réserve du consentement de l’Utilisateur, des mesures de comportement de l’Utilisateur transmise à Firebase pour établir le calcul de la moyenne du nombre de pas effectué par l’Utilisateur au cours des 7 jours glissants, précédent la journée en cours (cf.l’article 7.1)

Il est précisé que l'utilisation des données reçues de Health Connect est conforme à la politique d'autorisation de Health Connect de Google, y compris aux exigences d'utilisation limitée de Google Health que vous pouvez trouver

Roche Diabetes Care France offre à l’Utilisateur la possibilité, sous réserve de son consentement, de jumeler l’Application à son lecteur de glycémie, qui collecte au moment du jumelage, grâce à la technologie Bluetooth : 

• Pour Accu-Chek Guide : le code de jumelage affiché par le lecteur,

• Pour Accu-Chek Mobile : le numéro de série de l’adaptateur sans fil connectable.

Les données transmises par le lecteur de glycémie sont stockées en local dans l’Application sur le terminal de l’Utilisateur uniquement. Le lecteur de glycémie de Roche intègre des mesures techniques de sécurité appropriées pour préserver la sécurité et la confidentialité des données afin, notamment, d’empêcher que cette dernière soit modifiée, endommagée, divulguée ou accessible à des personnes non autorisées. La donnée est collectée pour être transmise de manière sécurisée à l’Application afin que l’Application puisse assurer ses fonctionnalités. Les données transmises sont les suivantes :

• le niveau de glycémie et son unité ;

• l’horodatage (date et l'heure de la mesure, fuseau horaire) ;

• ainsi que des tags (ex : avant ou après repas, avant ou après une activité physique).

Sous réserve du consentement de l’Utilisateur, l’Application pourra envoyer des notifications mobiles ou “push” directement sur le Terminal de l’Utilisateur. Une notification “mobile” ou “Push” est un message envoyé directement sur le Terminal d'un Utilisateur par le biais des services Apple ou Google (Android) en fonction du Terminal. Le message apparaît même si le smartphone est verrouillé.

Ces notifications personnalisées permettent à Roche Diabetes Care France de communiquer sur les activités de l’Application, d’informer sur les nouveautés, nouveaux contenus ou d’envoyer des messages de rappel lors de la planification des repas de l’Utilisateur.

Concernant le fonctionnement des notifications “Push”, Roche Diabetes Care France fait appel aux services de Google Firebase Cloud Messaging pour Android et Apple Push Notification service (APNs) pour iOS.

Une fois l’Application téléchargée sur le Terminal et le service de notifications accepté par l’Utilisateur, le Terminal sollicite le serveur d’Apple ou de Google (en fonction de son système d’exploitation) et lui demande un numéro d’identification unique (jeton). Chaque Terminal possède alors un identifiant unique (jeton) utilisé par le serveur de Google ou d’Apple pour identifier l’Application sur le Terminal et recevoir les notifications.

Roche Diabetes Care France ne reçoit aucune donnée personnelle qui lui permettrait d’établir l’identité d’un Utilisateur.

Pour obtenir de plus amples informations concernant le service Google Firebase Messaging ou Apple Push Notification Service, vous pouvez consulter la politique de confidentialité de Googleet la politique de confidentialité d’Apple

L’Utilisateur peut à tout moment désactiver/activer la fonction « notifications » sur l’Application ou directement dans les réglages de son Terminal

Sous réserve du consentement de l’Utilisateur, Roche Diabetes Care France pourra être amenée à utiliser Firebase Analytics en tant que service analytique fourni par Google, LLC. (« Google »), pour analyser le comportement de l'utilisateur concernant l’Application, dans la perspective d’une amélioration continue de cette dernière.

Pour ce faire, Firebase Analytics est susceptible de collecter des données personnelles relatives aux lancements de l’Application, nombre de sessions; ouvertures de l'Application ; systèmes d'exploitation ; zone géographique, type de Terminal ; identifiant de l’Utilisateur (associé à son Terminal). Les rapports statistiques mis à notre disposition par Firebase ne contiennent pas de données personnelles qui nous permettraient d’établir l’identité d’un Utilisateur.

L’utilisateur peut s’opposer à l’utilisation de Firebase Analytics au premier lancement de l’Application mais également à tout moment directement dans l’Application dans « Profile » - puis « Consentement ».

Sous réserve du consentement de l’Utilisateur, Roche Diabetes Care France pourra être amenée à utiliser Firebase Crashlytics, un service fourni par Google pour suivre, hiérarchiser, identifier et corriger les problèmes de stabilité, erreurs qui pourraient éroder la qualité de l’Application et les corriger.

En cas de dysfonctionnement de l’Application, ou de plantage, Firebase Crashlytics pourra notamment collecter le Terminal utilisé, le système d’exploitation, l’identifiant univoque universel de l'installation (UUID), vos dernières activités dans l’Application, le lieu du Terminal et transmettre à Roche Diabetes Care France un rapport d’erreurs anonymisés. Les rapports d’erreurs anonymisés mis à notre disposition par Firebase ne contiennent pas de données personnelles qui nous permettraient d’établir l’identité d’un Utilisateur.

Vous pouvez à tout moment vous opposer à l’utilisation de Crashlytics dans les paramètres de l’Application.

Afin de mieux comprendre comment Google procède au traitement des données et comment l’Utilisateur peut contrôler cette collecte de données, Roche Diabetes Care France recommande à l’Utilisateur de prendre connaissance des informations fournies par Google sur sa politique de confidentialité (cf. lien ci-dessus).

L’Application offre à l’Utilisateur la possibilité de partager des recettes et des articles avec d’autres Utilisateurs. L’Utilisateur peut ainsi générer des liens destinés à d’autres Utilisateurs de l’Application ou à des tiers qui ne possèdent pas l’Application mais devront la télécharger pour être en mesure de lire les recettes et articles envoyés.

Roche Diabetes Care France fait appel aux services de Branch.io (sous-traitant au sens de la Réglementation). Ce dernier traite les données suivantes pour la réalisation de cette fonctionnalité de partage :

• Adresse IP, modèle d’appareil, système (et version) d’exploitation, version de l’Application, opérateur.

• Éléments sur l’écran : taille, résolution.

• Éléments Internet : type de connexion, état du réseau mobile, localisation.

• Eléments techniques : identifiant publicitaire, ID du cookie Branch, type d'unité centrale de traitement (UC), version de construction du système, version SDK Branch.

L’Application permet à l’Utilisateur de contacter le service-clients Roche Diabetes Care France via « mon profil » ; « nous contacter » pour toute question liée à l’Application qu’il souhaiterait poser.

En cas de contact, l’adresse email et/ou le numéro de téléphone peuvent être collectés par Roche Diabetes Care via Salesforce si l’Utilisateur les transmet, pour répondre à la demande de l’Utilisateur. 

L’Application est hébergée sur le Terminal. 

Des données anonymisées sont envoyées à  Amazon Web Services (AWS) dans la région eu-central-1 à Francfort, en Allemagne, uniquement pour obtenir une personnalisation du profil  l'Utilisateur lorsqu’il y a consenti.

La société Innit est chargée de la maintenance et du développement de l’Application, en collaboration avec Roche Diabetes Care France.

En tant que sous-traitant de données personnelles (au sens de RGPD), Innit traite (mais ne conserve pas) les éléments suivants : 

• Identifiants GTIN scannés (code article international défini par l’organisation GS1- pour identifier un produit commercialisé),

• Eléments de personnalisation du profil (afin que le score Innit s’adapte au profil alimentaire des Utilisateurs).

En tout état de cause, Roche Diabetes Care France impose à ses sous-traitants (au sens de la Réglementation) le respect de la sécurité des données et qu’ils soient en mesure d’assurer un niveau de sécurité élevé. Dans ce contexte, Roche Diabetes Care France a conclu un contrat de sous-traitance de données personnelles avec Innit, en conformité avec la Réglementation applicable et afin de maintenir des standards élevés en matière de protection des données. 

Toute future modification de la Politique de confidentialité sera mise en ligne sur notre Application.  Roche Diabetes Care France conseille à chaque Utilisateur de l’Application de s’y reporter fréquemment pour consulter tout changement ou mise à jour de la présente Politique de confidentialité. 

La dernière mise à jour a eu lieu le 25 septembre 2023.

M-FR-00005129-3.0 - Établi en septembre 2023